casepoint

Rechtliches

Datenschutzerklärung

Stand: Mai 2026

1. Verantwortlicher

Roland Grünewald
Blammerbergstraße 115
71263 Weil der Stadt
Deutschland
E-Mail: kontakt@casepoint.de

2. Überblick

Casepoint ist eine Online-Terminbuchungsplattform für Praxen und andere Dienstleister. Über die Plattform können öffentliche Buchungsseiten, Erinnerungen, Kalenderanbindungen, kostenpflichtige Terminbuchungen, Dokumentvorlagen und auf Wunsch eigene Domains genutzt werden. Diese Datenschutzerklärung erläutert, welche personenbezogenen Daten wir dabei verarbeiten, zu welchen Zwecken dies geschieht und welche Rechte Sie haben. Die Verarbeitung erfolgt gemäß der Datenschutz-Grundverordnung (DSGVO) sowie dem Bundesdatenschutzgesetz (BDSG).

3. Erhobene Daten und Verarbeitungszwecke

3.1 Terminbuchung

Wenn Sie über unsere Plattform einen Termin buchen, erheben wir folgende Daten:

  • Name
  • E-Mail-Adresse
  • Telefonnummer (optional)
  • Nachricht / Anmerkungen (optional)
  • Termindetails (Datum, Uhrzeit, Leistung)

Zweck: Durchführung und Bestätigung der Terminbuchung, Versand von Bestätigungs- und Erinnerungsmails sowie Stornierungsabwicklung.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

Wiederbuchungs- und Folgetermin-Mails: Wenn der Anbieter diese Funktion aktiviert hat, kann Casepoint nach Abschluss eines Termins automatisch eine Empfehlungsmail für einen Folgetermin an die buchende Person senden. Diese Mails dienen der Fortführung des bestehenden Behandlungs- bzw. Beratungsverhältnisses zwischen Anbieter und Klient:in. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse des Anbieters an einer kontinuierlichen Betreuung). Sie können diesen Mails jederzeit beim Anbieter widersprechen; die ursprüngliche Buchung und Terminhistorie bleibt davon unberührt.

Keine Erhebung von Gesundheitsdaten über die Buchungsseite: Das optionale Feld „Organisatorische Nachricht" ist ausdrücklich nicht für die Erhebung von Gesundheitsdaten, Symptomen oder Anamnesefragen vorgesehen. Diese werden – sofern für die Leistung des Anbieters erforderlich – ausschließlich direkt im Termin selbst oder über vom Anbieter gesondert bereitgestellte Anamnesebögen außerhalb dieser Plattform erfasst.

Einwilligung in die Datenverarbeitung: Mit dem Absenden des Buchungsformulars bestätigt die buchende Person die zum Buchungszeitpunkt gültige Datenschutzerklärung des Anbieters. Casepoint speichert pro Buchung den Zeitstempel der Einwilligung sowie die Version dieser Datenschutzerklärung, um die Nachweispflicht nach Art. 7 Abs. 1 DSGVO zu erfüllen. Die aktuelle Version dieser Datenschutzerklärung ist unten unter „Aktualität dieser Erklärung" benannt.

3.2 Nutzerkonto (Anbieter / Admin)

Für Anbieter, die unsere Plattform nutzen, verarbeiten wir:

  • E-Mail-Adresse
  • gehashte bzw. über den Authentifizierungsdienst verwaltete Zugangsdaten
  • Praxisname, Adresse, Logo und weitere Stammdaten
  • Datenschutz- und Impressumslinks
  • Konfigurationsdaten zur Buchungsseite
  • Kalenderverbindungs-Tokens (Apple iCloud / Google Calendar)

Zweck: Betrieb und Verwaltung des Buchungssystems.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

3.3 Kalenderintegration

Auf Wunsch des Anbieters wird eine Verbindung zu Apple Calendar (iCloud CalDAV) oder Google Calendar hergestellt. Bei der Google-Integration verarbeiten wir die von Google bereitgestellten OAuth-Tokens, die Google-Konto-E-Mail-Adresse (soweit von Google bereitgestellt), Metadaten der auswählbaren Kalender (z. B. Kalender-ID, Kalendername, Zugriffsrolle) sowie die für die Synchronisation erforderlichen Termindaten. OAuth-Tokens bzw. App-Passwörter werden verschlüsselt gespeichert und ausschließlich zur Einrichtung, Aufrechterhaltung und Durchführung der Kalender-Synchronisation verwendet. Google-Nutzerdaten werden nicht für Werbung, nicht zum Verkauf an Dritte und nicht zum Training von KI-Modellen verwendet.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung des Anbieters)

3.4 Eigene Domains des Anbieters

Wenn ein Anbieter eine eigene Domain oder Subdomain mit seiner Buchungsseite verbinden möchte, verarbeiten wir die hinterlegte Domain, den Verbindungsstatus, technische DNS-Prüfergebnisse sowie Konfigurationsdaten für die Hosting-Freischaltung. Die Aktivierung erfolgt derzeit bewusst begleitet und teilweise manuell durch unseren internen Support- und Plattformbereich.

Zweck: Bereitstellung und Absicherung kundeneigener Domains für Buchungsseiten.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

3.5 Hochgeladene Praxisdokumente

Premium-Anbieter können PDF-Dokumente hochladen und im System verwalten, etwa für Vorbereitung, Verträge, rechtliche Hinweise, Stammdaten oder leere Anamnese-/Vorbereitungsvorlagen, die der Anbieter im Vorfeld eines Termins an die buchende Person übermittelt. Dabei verarbeiten wir den Dokumenttitel, Kategorie, Zuordnung, technische Dateiinformationen und die hochgeladene PDF-Datei selbst. Diese Dokumente enthalten keine personenbezogenen Inhalte einzelner Klient:innen — sie werden vom Anbieter als allgemeine Vorlage bereitgestellt und außerhalb der Plattform vom jeweiligen Klienten ausgefüllt.

Zweck: Bereitstellung, Verwaltung und Auslieferung praxisbezogener Dokumente innerhalb des Buchungssystems.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

3.6 Zahlungen für Termine und Casepoint-Abrechnung

Sofern ein Anbieter kostenpflichtige Termine anbietet, verarbeiten wir hierfür Zahlungs- und Statusdaten wie Zahlungsart, Zahlungsstatus, Checkout- oder Bestellreferenzen sowie die Zuordnung zur Buchung. Unabhängig davon verarbeiten wir für das eigene Casepoint-Abo eines Anbieters außerdem abonnementbezogene Abrechnungsdaten wie Kunden- und Abonnement-IDs, Laufzeit, Plan und Status.

Zweck: Zahlungsabwicklung für Termine, Verwaltung von Casepoint-Abonnements und Support bei Abrechnungsfragen.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)

4. Eingesetzte Dienste und Empfänger

Supabase (Datenbank & Authentifizierung)

Wir nutzen Supabase (Supabase Inc., USA) als Datenbank-, Storage- und Authentifizierungsdienst. Darüber werden insbesondere Kontodaten, Buchungen, Konfigurationsdaten, hochgeladene Dokumente und technische Zugriffsdaten verarbeitet. Unsere Supabase-Projektregion ist eu-west-1 (Irland) — die operative Datenhaltung erfolgt damit innerhalb der EU. Mit Supabase besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO (Supabase Data Processing Addendum), in den die EU-Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO für etwaige Übermittlungen an konzernverbundene Stellen in den USA einbezogen sind.

Resend (E-Mail-Versand)

Für den Versand von Bestätigungs-, Erinnerungs- und System-E-Mails nutzen wir Resend (Resend, Inc., USA). Dabei werden nur die für den jeweiligen Versand notwendigen Daten wie Name, E-Mail-Adresse und Termindetails übermittelt. Da der Anbieter seinen Sitz in den USA hat, kann eine Datenübermittlung in ein Drittland erfolgen. Wir stützen diese Übermittlung auf die EU-Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO, die Resend in seinen vertraglichen Bedingungen einbezieht.

Stripe (Zahlungsabwicklung und Abrechnung)

Sofern ein Anbieter kostenpflichtige Termine über Stripe anbietet oder sein eigenes Casepoint-Abo über Stripe verwaltet, werden die hierfür erforderlichen Daten an Stripe (Stripe Payments Europe Ltd., Irland, sowie konzernverbundene Stellen in den USA) übermittelt. Dazu können insbesondere Name, E-Mail-Adresse, Buchungsdaten, Zahlungsstatus, Checkout-Referenzen und abrechnungsbezogene Informationen gehören. Bei Übermittlungen in die USA stützen wir uns auf die EU-Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO; soweit Stripe-Konzerngesellschaften am EU-US Data Privacy Framework teilnehmen, erfolgt die Übermittlung zusätzlich auf Grundlage des Angemessenheitsbeschlusses gemäß Art. 45 DSGVO.

PayPal (Zahlungsabwicklung)

Sofern ein Anbieter PayPal für kostenpflichtige Termine aktiviert, werden die hierfür erforderlichen Daten an PayPal (PayPal (Europe) S.à r.l. et Cie, S.C.A., Luxemburg, sowie konzernverbundene Stellen in den USA) übermittelt. Dazu gehören insbesondere Name, E-Mail-Adresse, Buchungsdaten, Zahlungsstatus und transaktionsbezogene Informationen. Für etwaige Übermittlungen in die USA stützen wir uns auf die EU-Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO und – soweit anwendbar – auf den Angemessenheitsbeschluss zum EU-US Data Privacy Framework (Art. 45 DSGVO).

Hosting / Server-Infrastruktur

Die Plattform wird auf einer selbst verwalteten VPS- und Proxy-Infrastruktur bei Hetzner Online GmbH in Deutschland betrieben. Dabei verarbeiten wir technische Zugriffsdaten wie IP-Adresse, Zeitstempel, aufgerufene Pfade, angefragte Hostnamen und Fehlermeldungen, soweit dies für den sicheren Betrieb, die Auslieferung der Anwendung und die Freischaltung kundeneigener Domains erforderlich ist.

Apple Calendar / CalDAV

Sofern ein Anbieter seine Apple-Calendar-Integration aktiviert, kommuniziert die Plattform über CalDAV mit den Apple-Servern. Dabei werden nur die für die Kalender-Synchronisation erforderlichen Termin- und Verbindungsdaten verarbeitet.

Google Calendar API

Sofern ein Anbieter seine Google-Calendar-Integration aktiviert, kommuniziert die Plattform über die Google Calendar API mit den Google-Servern (Google LLC, USA). Dabei verarbeiten wir Google-Nutzerdaten ausschließlich, um die vom Anbieter gewünschte Kalenderfunktion bereitzustellen: Auswahl beschreibbarer Kalender, Abgleich von Belegungszeiten und Erstellung oder Löschung von Termineinträgen in den vom Anbieter ausgewählten Google-Kalendern.

Eine Weitergabe, Übermittlung oder Offenlegung von Google-Nutzerdaten erfolgt nur, soweit dies für diese Funktion erforderlich ist:

  • an Google LLC, soweit Daten über die Google Calendar API ausgetauscht werden, um Kalender anzuzeigen, Verfügbarkeiten abzugleichen sowie Termine zu erstellen oder zu löschen;
  • an unsere Auftragsverarbeiter für Hosting und Datenhaltung (insbesondere Supabase für Datenbank/Storage in der EU sowie Hetzner für Server-Infrastruktur in Deutschland), soweit verschlüsselte Tokens, Konfigurationsdaten oder synchronisationsbezogene Datensätze technisch in unserem Auftrag gespeichert oder verarbeitet werden;
  • an sonstige Empfänger nur, wenn eine gesetzliche Verpflichtung besteht.

Im Übrigen verkaufen wir Google-Nutzerdaten nicht, geben sie nicht zu Werbezwecken an Dritte weiter und verwenden sie nicht für Profiling, Datenbroker-Dienste oder das Training von KI-Modellen. Google verarbeitet diese Daten gemäß der Google-Datenschutzrichtlinie.

5. Datenspeicherung und Löschung

Wir speichern personenbezogene Daten nur so lange, wie dies für die jeweiligen Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen.

  • Buchungs- und Kontaktdaten von Klient:innen: im Regelfall bis zu drei Jahre nach dem letzten Termin (entspricht der regelmäßigen Verjährungsfrist nach § 195 BGB). Spätestens danach werden die Daten gelöscht oder anonymisiert, sofern keine gesetzliche Aufbewahrungspflicht entgegensteht. Auf Wunsch löschen wir die Daten vorzeitig (siehe Abschnitt 6).
  • Konto- und Stammdaten des Anbieters: für die Dauer der aktiven Nutzung der Plattform. Nach Beendigung der Nutzung werden die Daten innerhalb von 90 Tagen gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
  • Abrechnungs- und steuerrelevante Daten: bis zu 10 Jahre gemäß § 257 HGB / § 147 AO.
  • Kalender-Tokens, Domain-Konfigurationen und sonstige technische Einstellungen: bis zur Entfernung durch den Anbieter oder spätestens bis zur Beendigung der Nutzung.
  • Hochgeladene Praxisdokumente (Vorlagen): bis zur Löschung durch den Anbieter oder bis zur Beendigung der Nutzung.
  • Sicherheits- und Rate-Limit-Logs (z. B. IP-Adressen bei verdächtigen Anfragen): 30 Tage, anschließend automatische Löschung.
  • Storno- und Umbuchungs-Tokens: bis zum jeweiligen Termin bzw. bis zu seiner Stornierung; spätestens 30 Tage nach Terminende werden ungenutzte Tokens entwertet.

Soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen, werden Daten nach Wegfall des Verarbeitungszwecks gelöscht oder anonymisiert.

6. Ihre Rechte

Sie haben folgende Rechte bezüglich Ihrer personenbezogenen Daten:

  • Auskunft (Art. 15 DSGVO): Sie können Auskunft über Ihre gespeicherten Daten verlangen.
  • Berichtigung (Art. 16 DSGVO): Sie können unrichtige Daten berichtigen lassen.
  • Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen.
  • Einschränkung (Art. 18 DSGVO): Sie können die Verarbeitung einschränken lassen.
  • Datenübertragbarkeit (Art. 20 DSGVO): Sie können Ihre Daten in einem strukturierten Format erhalten.
  • Widerspruch (Art. 21 DSGVO): Sie können der Verarbeitung widersprechen.

Zur Ausübung Ihrer Rechte wenden Sie sich an: kontakt@casepoint.de

Sie haben außerdem das Recht, sich bei der zuständigen Datenschutzaufsichtsbehörde zu beschweren. Die zuständige Behörde für Baden-Württemberg ist der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BW).

7. Cookies und lokale Speicherung

Wir verwenden ausschließlich technisch notwendige Cookies und ähnliche technisch erforderliche Sitzungsmechanismen zur Aufrechterhaltung der Anmeldung und zur sicheren Nutzung der Plattform. Es werden keine Tracking- oder Marketing-Cookies eingesetzt. Eine Einwilligung ist daher nicht erforderlich.

8. Datensicherheit

Alle Daten werden verschlüsselt übertragen (TLS/HTTPS). Datenbankzugriffe sind durch Row-Level Security (RLS) abgesichert. Zugangsdaten werden über den Authentifizierungsdienst geschützt verarbeitet, Passwörter nicht im Klartext gespeichert. Kalender-Tokens und vergleichbare Verbindungsdaten werden verschlüsselt abgelegt. Zugriffe auf die Server- und Proxy-Infrastruktur sind auf den erforderlichen Betrieb beschränkt.

9. Aktualität dieser Erklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Änderungen der Plattform oder der Rechtslage anzupassen. Die jeweils aktuelle Version ist unter app.casepoint.de/datenschutz abrufbar.

Version: 2026-05